Harde schijven van fabrikanten Seagate en Western Digital bevatten kwetsbaarheden waarvoor nog geen updates zijn uitgebracht. Onderzoeker Eric Windisch ontdekte meerdere mankementen in de Seagate Central NAS.
Firmware-updates zijn kwetsbaar voor een man-in-the-middle-aanval, omdat de updates via HTTP beschikbaar worden gesteld en ongesigneerd zijn. Kwaadwillenden die zich tussen het internet en een gebruiker bevinden, hebben hierdoor de mogelijkheid om malafide firmware te installeren. De betreffende Seagate Central NAS blijkt ook informatie aan niet-geautoriseerde gebruikers door te laten met behulp van een phpinfo-pagina.
World-readable root-password
Bovendien is het mogelijk dat gebruikers elkaars bestanden wijzigen. Ook wordt er gebruikgemaakt van een algemeen world-readable root-password. De webapplicatie staat ongeautoriseerde aanpassing van hostnaam en IP-adres toe en lokale gebruikers hebben de mogelijkheid om hun rechten uit te breiden op de NAS.
Zonder wachtwoord
De Western Digital My Passport is een externe harde schijf. Sommige modellen kunnen hardwarematig versleuteld worden. Hackers kunnen volgens de onderzoekers echter, zonder wachtwoord, informatie van de harde schijf decoderen. Er lekt informatie uit het geheugen, de versleuteling is beneden de maat en enkele harde schijven hebben zelfs een verborgen achterdeur, aldus de onderzoekers.